SSL-Attacke die Zweite und die Macht des Staates...
2011-09-08 07:24 (Kommentare: 0)
Am 30. August habe ich über den Angriff auf die Niederländische SSL-CA DigiNotar geschrieben. Inzwischen liegt ja auch der Untersuchungsbericht1 vor und was man hier liest ist ja mehr als erschreckend. Es wurden über 500 Zertifikate ausgestellt2. Auch wenn einige total Schwachsinnig sind, ist allein diese Anzahl erschreckend.
Wie konnte so etwas passieren? Die kritische Infrastruktur, die für das Betreiben einer solchen CA notwendig ist, war nur unzureichend geschützt. CA-Server über Management-LAN erreichbar, unsichere Passwörter, Mitglied in einer Windows Domäne usw. Die Ermittler fanden dann auch noch diverse Schadprogramme welche mit einem simplen Virenscanner gefunden werden hätten können. Ein solches Programm war jedoch nicht installiert.
Die niederländische Regierung hat nun die Kontrolle über DigiNotar übernommen. Ob man dadurch wieder mehr Vertrauen in die CA hat überlasse ich jeden selbst. Grund wird jedoch auch mit sein, dass die Regierung selbst Zertifikate3 herausgibt und dies über DigiNotar läuft. Anfänglich hieß es zwar, PKloverheid sei von diesem Angriff nicht betroffen aber dies hatte sich ja inzwischen als falsch herausgestellt.
Das PKloverheid-Stammzertifikat wurde auch noch nicht zurückgezogen was meiner Meinung nach unverantwortlich ist. Natürlich laufen damit verschlüsselte Verbindungen von Computersystemen und auch Regierungsangelegenheiten. Aber doch gerade hier ist es doch wichtig, dass die Echtheit sichergestellt ist. Unter der Hand wird dies übrigens auch als der Grund gehandelt, wieso Microsoft das Update für XP und Windows 2003 noch nicht automatisch verteilt.
Auf der einen Seite sieht man die Macht des Staates, wie dem Iran der sich Zertifikate beschafft um dann Leute auszuspionieren und auf der anderen Seite gibt es die Regierung der Niederlande, die verhindert das Zertifikate zurück gerufen werden um einfach die Kommunikation aufrecht zu erhalten. Die Sicherheit ist so oder so nicht mehr gewährleistet und das Vertrauen in die Verschlüsselung dahin.
Der Hacker hat übrigens zwischenzeitlich ein Manifest4 veröffentlicht, indem er auch behauptet, die Kontrolle über GlobalSign zu haben. Diese CA untersucht den Vorfall und stellt bis auf weiteres keine neuen Zertifikate mehr aus.
1) http://cryptome.org/0005/diginotar-insec.pdf
2) http://www.heise.de/security/meldung/Ueber-500-Zertifikate-Ausmass-des-CA-Hacks-schlimmer-als-erwartet-1336603.html
3) http://www.logius.nl/producten/toegang/pkioverheid/
4) http://pastebin.com/1AxH30em
Tags: Angriff , DigiNotar , GlobalSign , Internet , Iran , Macht , Man-in-the-Middle , Niederland , Sicherheit , Sicherheitsproblem , SSL , Staat
SSL-Attacke die Zweite...
2011-08-30 12:12 (Kommentare: 2)
Mal wieder gab es ein Leck bei einer SSL-CA. Diesmal hat es die Niederländische DigiNotar erwischt welche gleich mal ein Wildcard-Zertifikat für Google1 (*.google.com) ausgestellt hat. Empfänger war vermutlich die iranische Regierung2 welche hierdurch in der Lage wäre, z. B. Nutzer von Google Mail zu überwachen. Ob noch weitere Zertifikate ausgestellt worden sind, ist zurzeit noch unbekannt.
Nun stellt sich mir schon die Frage, warum DigiNotar hier nicht besser geprüft hat. Vor allem bei einem Wildcard Zertifikat für so einem großen Auftraggeber wie es hier angeblich der Fall gewesen wäre. Oder war der Stolz einen so großen Kunden an Land gezogen zu haben einfach größer wie die Vernunft?
Google3, Mozilla4,5 und Microsoft6,7 haben inzwischen übrigens das Root-Zertifikat von DigitNotar aus dem Zertifikatsspeicher entfernt. Trotzdem bleibt ein fader Beigeschmack den dies war jetzt schon der zweite Vorfall dieser Art binnen weniger Monate (vor kurzen erwischte es einen italienischen Reseller von Comodo8). Wird überhaupt noch geprüft oder nur noch abgezockt?
1) http://pastebin.com/SwCZqskV
2) https://www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-google
3) http://codereview.chromium.org/7795014
4) http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/
5) http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
6) http://www.microsoft.com/technet/security/advisory/2607712.mspx
7) http://blogs.technet.com/b/michaelkranawetter/archive/2011/08/30/gef-228-lschtes-zertifikat-f-252-r-spoofing-von-google-com-missbraucht.aspx
8) http://www.heise.de/meldung/SSL-GAU-zwingt-Browser-Hersteller-zu-Updates-1212986.html
Tags: Angriff , DigiNotar , Internet , Man-in-the-Middle , Sicherheit , Sicherheitsproblem , SSL
